Zmluvné podmienky pre fakturáciu Mollie

Tieto servisné podmienky („servisné podmienky fakturácie“) predstavujú právnu zmluvu medzi vami a organizáciou alebo subjektom, ktorý zastupujete (ďalej len „organizácia“, „vy“ alebo „váš“) a spoločnosťou Mollie B.V. a jej poskytovateľmi licencií (ďalej len „Mollie“, „my“ alebo „náš“), ktorá upravuje používanie fakturačnej služby.

Servisné podmienky fakturácie stanovujú podmienky, za ktorých vám bude povolené používať fakturačnú službu. Používateľská zmluva, ktorá sa na vás vzťahuje v celom rozsahu, zostáva v platnosti a je doplnená týmito servisnými podmienkami fakturácie. V prípade rozporu medzi používateľskou zmluvou a týmito servisnými podmienkami fakturácie majú prednosť tieto servisné podmienky fakturácie, avšak len vo vzťahu k fakturačnej službe a jej používaniu.

Okrem definícií uvedených v používateľskej zmluve alebo akejkoľvek inej zmluve medzi spoločnosťou Mollie a organizáciou platia nasledujúce definície:

Používaním fakturačnej služby súhlasíte s nasledujúcimi podmienkami:

1. Popis služby

1.1 Fakturačná služba spoločnosti Mollie je digitálne fakturačné riešenie navrhnuté tak, aby pomáhalo platformám alebo obchodníkom efektívne vytvárať, prispôsobovať, odosielať a spravovať faktúry prostredníctvom Mollie Dashboard alebo Invoice API tým, že umožňuje rýchle vytváranie faktúr, uplatňovanie DPH, automatizované pripomienky platieb a sledovanie platieb, a viaceré možnosti platby pre zákazníkov („fakturačná služba“).

2. Ceny

2.1 Ceny za fakturačnú službu sa určujú v súlade s www.mollie.com/pricing alebo ako sa zmluvné strany inak písomne dohodli. 

3. Osobné údaje a spracovanie údajov 

3.1 Pri používaní fakturačnej služby môžete byť požiadaní o poskytnutie osobných údajov vašich zákazníkov a používateľov spoločnosti Mollie a spoločnosť Mollie môže tieto osobné údaje spracúvať s cieľom umožniť fungovanie fakturačnej služby. Udeľujete spoločnosti Mollie povolenie a súhlas na používanie vašich osobných údajov alebo údajov vašich zákazníkov a/alebo na sprístupnenie osobných údajov o vás alebo vašich zákazníkoch tretím stranám, ak je to potrebné na umožnenie alebo poskytovanie fakturačnej služby. Považujete sa za „prevádzkovateľa“ akýchkoľvek osobných údajov používaných na generovanie faktúr a my budeme spracúvať osobné údaje ako „sprostredkovateľ“ v súlade s prílohou 1 (ZMLUVA O SPRACÚVANÍ ÚDAJOV PRE FAKTURAČNÚ SLUŽBU MOLLIE) a vyhlásením spoločnosti Mollie o ochrane osobných údajov dostupným na www.mollie.com/legal/privacy.

3.2 Bez ohľadu na akékoľvek opačné ustanovenia pri používaní fakturačnej služby zaručujete, že dodržiavate a budete naďalej dodržiavať všetky požiadavky na ochranu údajov vrátane, bez obmedzenia, všeobecného nariadenia o ochrane údajov („GDPR“) alebo akéhokoľvek ekvivalentného nariadenia alebo zákona o ochrane údajov vzťahujúceho sa na vašu podnikateľskú činnosť.

4. Vaše povinnosti a zodpovednosť

4.1 Fakturačnú službu nesmiete používať ani dovoliť jej používanie akýmkoľvek nezákonným alebo nevhodným spôsobom.

4.2 Budete dodržiavať súčasné a budúce zákony a predpisy týkajúce sa fakturačných a/alebo daňových požiadaviek. Zodpovednosť za zabezpečenie presnosti a správnosti faktúry, vrátane uplatnených sadzieb DPH, nesiete výhradne vy. Ak uplatniteľná sadzba DPH na vašej faktúre nie je podporovaná fakturačnou službou (napríklad v dôsledku zmien uplatniteľných sadzieb DPH v danej krajine), bezodkladne nás o tom písomne informujete a my posúdime a v prípade potreby upravíme konfigurovateľnosť fakturačnej služby tak, aby podporovala novú sadzbu DPH.

4.3 Ste zodpovední za prijatie vhodných opatrení (pravidelne a v súlade s príslušnými rizikami) na zabezpečenie údajov a obsahu zadaných, odoslaných a uložených v priebehu vášho používania fakturačnej služby, ako aj za vytváranie vlastných záložných kópií s cieľom zabezpečiť obnovu údajov and informácií v prípade straty. Podľa svojich najlepších schopností zabránite neoprávnenému prístupu tretích strán k fakturačnej službe.

4.4 Nebudete oprávnení (ak nie je výslovne písomne dohodnuté inak):

• sprístupniť fakturačnú službu v akejkoľvek forme iným tretím stranám ako vašim zamestnancom, zástupcom, dodávateľom a iným pridruženým používateľom; alebo

• reprodukovať, upravovať alebo spätne analyzovať časti fakturačnej služby, rozoberať ju, dekompilovať alebo prekladať.

4.5 Vzali ste na vedomie a súhlasíte so svojimi povinnosťami uvedenými v prílohe 1.

5. Licencia a duševné vlastníctvo (IP) 

5.1 Udeľuje sa vám nevýhradné, neprevoditeľné, nesublicencovateľné, celosvetové, odvolateľné a dočasné právo na používanie fakturačnej služby. Fakturačná služba vám bude sprístupnená výlučne na nevýhradnom základe. Spoločnosť Mollie nie je povinná poskytovať iné služby ako fakturačnú službu. V súvislosti s fakturačnou službou sa neudeľujú žiadne ďalšie práva na používanie.

5.2 Ste výhradne zodpovední za správu používateľských práv a musíte zabezpečiť, aby všetci používatelia pri používaní fakturačnej služby dodržiavali obmedzenia obsiahnuté v používateľskej zmluve spoločnosti Mollie a v týchto všeobecných obchodných podmienkach.

5.3 Všetky práva duševného vlastníctva a práva na používanie (iné ako licencia udelená podľa tejto zmluvy) v súvislosti s fakturačnou službou vrátane zdrojového kódu, databáz, funkčnosti, softvéru, dizajnu webových stránok, zvuku, videa, textu, fotografií a grafiky („práva duševného vlastníctva“), zostávajú v celom rozsahu spoločnosti Mollie.

5.4 V rozsahu, v akom sú vám poskytnuté súpravy na vývoj softvéru („SDK“), vrátane ich akýchkoľvek aktualizácií alebo technickej podpory, platia nasledujúce osobitné ustanovenia pre SDK:

• Udeľuje sa vám nevýhradná, neprevoditeľná, odvolateľná, bezplatná licencia na (i) inštaláciu a používanie SDK len vo forme objektového kódu na vývoj programov pozostávajúcich zo skompilovaného kódu generovaného pomocou SDK alebo akejkoľvek jeho časti, navrhnutých na fungovanie s produktom; (ii) vyhotovenie obmedzeného počtu kópií dokumentácie k SDK, ktorú môžu vaši zamestnanci alebo konzultanti používať len na účely vývoja, a nie na všeobecné obchodné účely alebo na distribúciu; a (iii) distribúciu SDK len vo forme objektového kódu ako súčasti produktu;

• Spoločnosť Mollie je oprávnená, ale nie povinná, poskytovať technickú alebo inú podporu pre SDK;

• súpravy SDK zahŕňajú kód, ktorý realizuje automatické odosielanie chybových hlásení z vašej strany, a súhlasíte s tým, že spoločnosť Mollie má trvalé, neodvolateľné a neobmedzené právo používať tieto informácie na svoje obchodné účely, vrátane, okrem iného, podpory a vývoja produktov;

• ak používate súpravy SDK na spúšťanie aplikácií vyvinutých vami alebo treťou stranou alebo na prístup k údajom, obsahu alebo zdrojom poskytovaným treťou stranou, súhlasíte s tým, že spoločnosť Mollie nezodpovedá za tieto aplikácie, údaje, obsah alebo zdroje;

• licencia na súpravy SDK sa poskytuje „tak, ako sú“. Riziko spojené s ich používaním znášate vy; spoločnosť Mollie odmieta akékoľvek záruky alebo garancie (či už zákonné, výslovné alebo predpokladané) a neposkytuje žiadne záruky ani garancie v súvislosti s vaším používaním súprav SDK.

  
  

6. Zodpovednosť a odškodnenie

6.1 Spoločnosť Mollie nezodpovedá za chyby, činy, opomenutia alebo nedodržanie predpisov vyplývajúce z vašich údajov, nastavení alebo používania fakturačnej služby. Nesiete výhradnú a konečnú zodpovednosť za to, že všetky údaje použité na vytvorenie alebo vystavenie faktúr, vrátane uplatnených sadzieb DPH, sú v súlade s platnými (daňovými) zákonmi v príslušnej krajine používania. Spoločnosť Mollie nemá povinnosť overovať presnosť, úplnosť alebo správnosť akýchkoľvek údajov alebo nastavení (DPH) nakonfigurovaných, poskytnutých alebo používaných vami prostredníctvom fakturačnej služby. Odškodníte a zbavíte spoločnosť Mollie zodpovednosti za všetky nároky tretích strán, záväzky, škody, straty, náklady a výdavky (vrátane primeraných poplatkov za právne zastupovanie) vyplývajúce z vášho používania fakturačnej služby alebo súvisiace s ním, vrátane konfigurácie DPH. 

6.2 Na predchádzanie pochybnostiam platí, že v rozsahu, v akom spoločnosť Mollie zodpovedá za akékoľvek škody, naša zodpovednosť bude obmedzená v súlade s používateľskou zmluvou.

Príloha 1: ZMLUVA O SPRACÚVANÍ ÚDAJOV

Táto ZMLUVA O SPRACÚVANÍ ÚDAJOV (ďalej len „DPA“) vrátane jej dodatkov popisuje povinnosti zmluvných strán, vrátane povinností podľa platných zákonov o ochrane osobných údajov, pokiaľ ide o spracúvanie osobných údajov (ako sú definované nižšie). DPA je začlenená do používateľskej zmluvy.

Táto DPA je uzatvorená medzi organizáciou (ďalej len „prevádzkovateľ“)

a 

spoločnosťou Mollie B.V., spoločnosťou s ručením obmedzeným (besloten vennootschap) so sídlom v Amsterdame, na adrese Keizersgracht 126, 1015 CW Amsterdam, Holandsko, zapísanou v holandskej obchodnej komore pod číslom 30204462, (ďalej len „Mollie“ alebo „sprostredkovateľ“)

a 

spoločnosťou Mollie UK Ltd., spoločnosťou s ručením obmedzeným so sídlom v Londýne, 7 Pancras Square, Londýn N1C 4AG, Spojené kráľovstvo, zapísanou v registri firiem pod číslom 14013554, (ďalej len „Mollie“ alebo „sprostredkovateľ“),

každá samostatne ako „zmluvná strana“ a spoločne ako „zmluvné strany“. 

Definície 

V tejto DPA majú nasledujúce výrazy význam uvedený nižšie. Výrazy s veľkým začiatočným písmenom použité, ale nedefinované v tomto dokumente, majú význam uvedený v zmluve.

Zmluva
zmluva medzi prevádzkovateľom a sprostredkovateľom o poskytovaní služieb („používateľská zmluva“).

Záväzné vnútropodnikové pravidlá
politiky ochrany osobných údajov, ktoré dodržiava prevádzkovateľ alebo sprostredkovateľ usadený na území členského štátu pri prenosoch alebo súboroch prenosov osobných údajov prevádzkovateľovi alebo sprostredkovateľovi v jednej alebo viacerých tretích krajinách v rámci skupiny podnikov alebo skupiny podnikov vykonávajúcich spoločnú hospodársku činnosť.

Prevádzkovateľ
fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určuje účely a prostriedky spracúvania osobných údajov.

Zákazník
zákazníci organizácie, ktorí chcú platiť za produkty a/alebo služby poskytované organizáciou prostredníctvom platobného modulu spoločnosti Mollie.

Porušenie ochrany osobných údajov
porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu alebo sprístupneniu prenášaných, uchovávaných alebo inak spracúvaných osobných údajov. 

Zmluva o spracúvaní údajov
táto zmluva vrátane všetkých príloh.

Dozorný orgán
nezávislý štátny orgán zodpovedný za dohľad nad dodržiavaním platných zákonov týkajúcich sa spracúvania osobných údajov. V Holandsku je to Autoriteit Persoonsgegevens.

Posúdenie vplyvu na ochranu údajov
posúdenie vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov. 

Zákony o ochrane údajov
všetky platné právne predpisy týkajúce sa ochrany údajov a súkromia, vrátane, bez obmedzenia, všeobecného nariadenia o ochrane údajov EÚ, všetkých miestnych zákonov a predpisov, ktoré ich menia alebo nahrádzajú, spolu s akýmikoľvek vnútroštátnymi vykonávacími zákonmi v ktoromkoľvek členskom štáte Európskeho hospodárskeho priestoru (EHP), v uplatniteľnom rozsahu, v akejkoľvek inej krajine, v znení neskorších zmien, zrušení, konsolidácií alebo nahradení. 

Dotknutá osoba
fyzická osoba, ktorej sa osobné údaje týkajú (napr. zákazníci).

GDPR
všeobecné nariadenie o ochrane údajov (EÚ) 2016/679 Európsho parlamentu a Rady z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov. 

Osobné údaje
akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby; identifikovateľná fyzická osoba je osoba, ktorú možno priamo alebo nepriamo identifikovať, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo na jeden či viacero faktorov špecifických pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby. 

Spracúvanie
akákoľvek operácia alebo súbor operácií, ktoré sa vykonávajú s osobnými údajmi alebo súbormi osobných údajov, či už automatizovanými alebo neautomatizovanými prostriedkami, ako je získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prispôsobovanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo iným spôsobom, zosúlaďovanie alebo kombinovanie, obmedzenie, vymazanie alebo zničenie. Tento zoznam nie je vyčerpávajúci. Výrazy „spracúvať“ a „spracúvané“ sa budú vykladať v súlade s tým. 

Sprostredkovateľ
fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva (osobné) údaje v mene prevádzkovateľa.

Organizácia
organizácia, ktorá používa platobný modul spoločnosti Mollie na účely vrátane, ale nie výlučne, predaja produktov a/alebo služieb zákazníkom.

Štandardné zmluvné doložky
štandardné zmluvné doložky Európskej komisie pre sprostredkovateľov údajov (2010/87/EÚ) alebo vykonávacie rozhodnutie Komisie (EÚ) 2021/914 zo 4. júna 2021 o štandardných zmluvných doložkách pre prenos osobných údajov do tretích krajín podľa nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 (C/2021/3972).

Subdodávateľ
akákoľvek tretia osoba, subjekt alebo spoločnosť zapojená sprostredkovateľom do spracúvania osobných údajov pri poskytovaní služieb podľa zmluvy. 

ODDIEL A ÚČEL 

Článok A.1 Rozsah pôsobnosti

Sprostredkovateľ súhlasil s poskytovaním služieb prevádzkovateľovi v súlade s podmienkami používateľskej zmluvy. Pri poskytovaní služieb bude sprostredkovateľ spracúvať osobné údaje v mene prevádzkovateľa, ako je uvedené v tejto DPA. Sprostredkovateľ ako finančná inštitúcia spracúva osobné údaje aj v pozícii prevádzkovateľa údajov. 

Zmluvné strany berú na vedomie a súhlasia s tým, že v rozsahu, v akom spoločnosť Mollie spracúva osobné údaje zapojené do platobných transakcií s cieľom: i) plniť používateľskú zmluvu s prevádzkovateľom; ii) monitorovať, predchádzať a odhaľovať podvodné platobné transakcie; iii) plniť právne alebo regulačné povinnosti vzťahujúce sa na spracúvanie a uchovávanie platobných údajov, ktorým spoločnosť Mollie podlieha, vrátane platného preverovania v oblasti boja proti praniu špinavých peňazí a dodržiavania povinností poznania svojho zákazníka (KYC); a iv) zlepšovať produkty a služby spoločnosti Mollie, vystupuje spoločnosť Mollie ako prevádzkovateľ údajov a má výhradnú právomoc určovať účely a prostriedky spracúvania osobných údajov, ktoré dostáva od prevádzkovateľa alebo jeho prostredníctvom (poskytovaním služieb).

Spracovateľské činnosti, osobné údaje a kategórie dotknutých osôb, pre ktoré sprostredkovateľ spracúva osobné údaje v mene prevádzkovateľa, sú uvedené v prílohe A. 

ODDIEL B POVINNOSTI 

Článok B.1 Povinnosti prevádzkovateľa 

Prevádzkovateľ zodpovedá za osobné údaje, ktoré bude sprostredkovateľ spracúvať, a zabezpečí súlad so všetkými zákonmi o ochrane údajov vrátane požiadaviek týkajúcich sa prenosu osobných údajov podľa tejto DPA a používateľskej zmluvy. Prevádzkovateľ zaručuje, že má právo spracúvať osobné údaje a má právo vymenovať sprostredkovateľa na spracúvanie údajov v mene prevádzkovateľa.

Prevádzkovateľ súhlasí s tým, že bez obmedzenia povinností sprostredkovateľa podľa tejto DPA, prevádzkovateľ nesie výhradnú zodpovednosť za svoje používanie služieb, vrátane (a) vhodného využívania služieb na zabezpečenie úrovne bezpečnosti primeranej riziku vo vzťahu k osobným údajom; (b) zabezpečenia poverení na overenie účtu, systémov a zariadení, ktoré prevádzkovateľ používa na prístup k službám; (c) zabezpečenia systémov a zariadení prevádzkovateľa, ktoré používa so službami; a (d) udržiavania vlastných záloh osobných údajov.

Článok B.2 Povinnosti sprostredkovateľa 

Sprostredkovateľ sa zaväzuje: 

1. spracúvať osobné údaje len v súlade s doloženými pokynmi od prevádzkovateľa a podnikne potrebné kroky na zabezpečenie toho, aby akákoľvek fyzická osoba konajúca na základe jeho poverenia, ktorá má prístup k osobným údajom, nespracúvala osobné údaje okrem pokynov od prevádzkovateľa;

2. bezodkladne informovať prevádzkovateľa, ak niektorý z pokynov týkajúcich sa spracúvania osobných údajov poskytnutých sprostredkovateľovi prevádzkovateľom porušuje akékoľvek platné zákony o ochrane údajov alebo ustanovenia stanovené v tejto DPA;

3. zaviesť primerané technické a organizačné postupy na ochranu osobných údajov s ohľadom na najnovšie poznatky, náklady na vykonanie a povahu, rozsah, kontext and účely spracúvania, ako aj na riziko s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb; a

4. bez zbytočného odkladu informovať prevádzkovateľa, ak dostane sťažnosť alebo žiadosť týkajúcu sa povinností ktorejkoľvek zmluvnej strany podľa zákonov o ochrane údajov relevantných pre túto DPA, vrátane akéhokoľvek nároku na náhradu škody od dotknutej osoby alebo akéhokoľvek oznámenia, vyšetrovania alebo iného opatrenia zo strany dozorného orgánu, a poskytnúť prevádzkovateľovi všetky podrobnosti o takomto vyšetrovaní, sťažnosti alebo žiadosti, pokiaľ to zákon nezakazuje alebo na žiadosť dozorného orgánu.
   
   

ODDIEL C PRENOSY A SUBDODÁVATELIA

Článok C.1 Prenos osobných údajov 

Ak sa osobné údaje týkajúce sa dotknutej osoby z EÚ prenášajú mimo EHP, spracúva ich subjekt: (i) so sídlom v tretej krajine alebo na území, ktoré Európska komisia uznala za krajinu poskytujúcu primeranú úroveň ochrany; alebo (ii) na ktorý sa vzťahujú štandardné zmluvné doložky EÚ a/alebo dohoda o prenose údajov v Spojenom kráľovstve či dodatok k štandardným zmluvným doložkám Spojeného kráľovstva; alebo (iii) ktorý má zavedené iné legálne uznané primerané záruky, ako napríklad záväzné vnútropodnikové pravidlá, ktoré zaručujú rovnakú úroveň ochrany a záruk ako táto DPA. 

Článok C.2 Subdodávatelia 

Prevádzkovateľ týmto súhlasí s tým, že sprostredkovateľ bude využívať subdodávateľov uvedených v prílohe B. Tento zoznam môže sprostredkovateľ z času na čas aktualizovať v súlade s touto DPA.

Pred zapojením nového subdodávateľa pre služby uvedené v prílohe A sprostredkovateľ oznámi túto skutočnosť prevádzkovateľovi využívajúcemu uvedenú službu a poskytne prevádzkovateľovi aspoň desať (10) kalendárnych dní na vyjadrenie námietky, okrem prípadov, keď sa sprostredkovateľ dôvodne domnieva, že zapojenie nového subdodávateľa v zrýchlenom konaní je nevyhnutné na ochranu dôvernosti, integrity alebo dostupnosti osobných údajov alebo na zabránenie podstatnému narušeniu poskytovaných služieb. V takom prípade sprostredkovateľ poskytne toto oznámenie tak skoro, ako je to rozumne uskutočniteľné. Ak do piatich (5) kalendárnych dní po takomto oznámení prevádzkovateľ písomne oznámi sprostredkovateľovi, že namieta proti vymenovaniu nového subdodávateľa na základe odôvodnených obáv týkajúcich sa ochrany údajov, zmluvné strany tieto obavy prediskutujú v dobrej viere a posúdia, či sa dajú vyriešiť. Námietky voči novým subdodávateľom sa posielajú na adresu privacy@mollie.com. 

Prevádzkovateľ berie na vedomie, že subdodávatelia sú nevyhnutní na poskytovanie služieb a že namietanie proti použitiu subdodávateľa môže sprostredkovateľovi zabrániť v poskytovaní služieb prevádzkovateľovi. Ak sa zmluvné strany nedokážu vzájomne dohodnúť na vyriešení takýchto obáv, prevádzkovateľ môže ako svoj jediný a výhradný opravný prostriedok túto DPA vypovedať.

Všetci subdodávatelia, ktorí spracúvajú osobné údaje pri poskytovaní služieb prevádzkovateľovi, sú povinní dodržiavať povinnosti stanovené v tejto DPA. Sprostredkovateľ pred sprístupnením osobných údajov akémukoľvek subdodávateľovi vykoná primeranú náležitú starostlivosť (due diligence), aby zabezpečil, že subdodávateľ je schopný poskytnúť úroveň ochrany osobných údajov prevádzkovateľa 

vyžadovanú touto DPA, a uzatvorí s týmto subdodávateľom zmluvu, na základe ktorej subdodávateľ súhlasí s dodržiavaním povinností rovnocenných s povinnosťami stanovenými v tejto DPA. 

ODDIEL D BEZPEČNOSŤ 

Článok D.1 Bezpečnostné opatrenia

Sprostredkovateľ zavedie primerané technické a organizačné opatrenia na zaistenie úrovne bezpečnosti primeranej rizikám, vrátane okrem iného podľa potreby:

1. pseudonymizácie a šifrovania osobných údajov; 

2. schopnosti zaistiť trvalú dôvernosť, integritu, dostupnosť a odolnosť systémov a služieb spracúvania; 

3. schopnosti včas obnoviť dostupnosť osobných údajov a prístup k nim v prípade fyzického alebo technického incidentu; a 

4. procesu pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania. Pri posudzovaní primeranej 

úrovne bezpečnosti sa zohľadnia najmä riziká, ktoré predstavuje spracúvanie, najmä v dôsledku náhodného alebo nezákonného zničenia, straty, zmeny, neoprávneného poskytnutia osobných údajov alebo prístupu k nim, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú.

Článok D.2 Oznámenie o porušení ochrany osobných údajov

Sprostredkovateľ bez zbytočného odkladu po zistení oznámi prevádzkovateľovi akékoľvek náhodné alebo nezákonné zničenie, stratu, zmenu alebo neoprávnené poskytnutie osobných údajov alebo prístup k nim, pokiaľ sa porušenie ochrany osobných údajov týka výlučne spracúvania osobných údajov sprostredkovateľom v jeho pozícii sprostredkovateľa. Ak sa porušenie ochrany osobných údajov týka osobných údajov, pre ktoré sa sprostredkovateľ považuje za prevádzkovateľa, ako je popísané vo vyhlásení o ochrane osobných údajov sprostredkovateľa, sprostredkovateľ si vyhradzuje právo riešiť porušenie ochrany osobných údajov ako prevádzkovateľ. 

Oneskorenie pri poskytnutí oznámenia o porušení ochrany osobných údajov vyžiadané orgánmi činnými v trestnom konaní a/alebo s ohľadom na legitímne potreby sprostredkovateľa vyšetriť alebo napraviť záležitosť pred poskytnutím oznámenia nepredstavuje zbytočné odkladaní. V takýchto oznámeniach sa v maximálnej možnej miere opíšu podrobnosti o porušení ochrany osobných údajov vrátane krokov podniknutých na zmiernenie potenciálnych rizík. Bez toho, aby boli dotknuté povinnosti sprostredkovateľa podľa tohto oddielu D.1, prevádzkovateľ nesie výhradnú zodpovednosť za dodržiavanie zákonov o oznamovaní porušenia ochrany osobných údajov, ktoré sa na neho vzťahujú, a za plnenie akýchkoľvek povinností oznamovania porušenia tretím stranám. Oznámenie sprostredkovateľa o porušení ochrany osobných údajov alebo jeho reakcia naň podľa tohto oddielu D.1 sa nebudú vykladať ako uznanie akejkoľvek viny alebo zodpovednosti zo strany sprostredkovateľa v súvislosti s porušením ochrany osobných údajov.

Všetky náklady vzniknuté pri riešení porušenia ochrany osobných údajov a pri implementácii opatrení potrebných na zabránenie takému porušeniu v budúcnosti znáša tá zmluvná strana, ktorej náklady vznikli. 

ODDIEL E AUDIT

Článok E.1 Právo na audit 

Prevádzkovateľ má právo požiadať, na základe primeraného oznámenia, o audítorské správy od sprostredkovateľa týkajúce sa spracúvania osobných údajov v rozsahu služieb poskytovaných podľa tejto DPA.

Audítorské správy, na ktoré sa odkazuje v tomto ustanovení, zahŕňajú okrem iného správy týkajúce sa bezpečnosti, dôvernosti a opatrení na ochranu údajov implementovaných sprostredkovateľom v súvislosti so spracúvaním osobných údajov. Tieto správy sa môžu vzťahovať aj na súlad s príslušnými zákonmi o ochrane údajov.

Žiadosti o audítorské správy sa podávajú písomne a zasielajú sa na adresu privacy@mollie.com s uvedením rozsahu a účelu žiadosti. Sprostredkovateľ potvrdí prijatie takýchto žiadostí včasným spôsobom.

Na prijatie audítorských správ sa vzťahuje profesijná povinnosť mlčanlivosti. Prevádzkovateľ môže audítorské správy použiť len na účely splnenia regulačných požiadaviek prevádzkovateľa na audit a na potvrdenie toho, že spracúvanie osobných údajov sprostredkovateľom je v súlade s touto DPA. Audítorské správy sa nesmú zdieľať externe.

ODDIEL F POSÚDENIE VPLYVU NA OCHRANU ÚDAJOV A PREDCHÁDZAJÚCA KONZULTÁCIA

Článok F.1 Asistencia

Sprostredkovateľ pomôže prevádzkovateľovi pri vykonávaní posúdenia vplyvu na ochranu osobných údajov (článok 35 GDPR) a pri akýchkoľvek konzultáciách s dozorným orgánom (článok 36 GDPR), ak a v rozsahu, v akom sa vyžaduje vykonanie posúdenia alebo konzultácie podľa zákonov o ochrane údajov a v prípadoch, keď je sprostredkovateľ oprávnený a/alebo povinný spolupracovať.

ODDIEL G PRÁVA DOTKNUTÝCH OSÔB

Článok G.1 Asistencia

Ak sprostredkovateľ dostane žiadosť od dotknutej osoby v súvislosti s osobnými údajmi prevádzkovateľa, sprostredkovateľ odporučí dotknutej osobe, aby svoju žiadosť predložila prevádzkovateľovi a/alebo postúpi žiadosť prevádzkovateľovi, pričom za odpoveď na takúto žiadosť zodpovedá prevádzkovateľ.

Na žiadosť prevádzkovateľa a na jeho náklady poskytne sprostredkovateľ prevádzkovateľovi takú pomoc, akú môže rozumne vyžadovať na splnenie povinností podľa zákonov o ochrane údajov reagovať na žiadosti dotknutých osôb o výkon ich práv podľa zákonov o ochrane údajov (napr. práva na prístup k údajom, opravu, vymazanie, obmedzenie, prenosnosť a namietať) v prípadoch, keď prevádzkovateľ nemôže rozumne splniť takéto žiadosti nezávisle prostredníctvom svojho prístupu k produktom a službám sprostredkovateľa.

ODDIEL H RÔZNE 

Článok H.1 Dôvernosť 

Sprostredkovateľ zachováva dôvernosť všetkých osobných údajov a zabezpečí, aby si všetci zamestnanci, zástupcovia, úradníci a dodávatelia, ktorí majú prístup k spracúvaniu osobných údajov alebo sú doň zapojení, boli vedomí dôverného charakteru osobných údajov, boli zmluvne viazaní zachovávať dôvernosť osobných údajov a boli informovaní o povinnostiach vyplývajúcich z tejto DPA a dodržiavali ich.

Článok H.2 Zodpovednosť

Akákoľvek zodpovednosť vyplývajúca z tejto DPA sa riadi príslušnými ustanoveniami používateľskej zmluvy, vrátane obmedzení zodpovednosti. 

Bez ohľadu na ustanovenia používateľskej zmluvy zodpovedá každá zmluvná strana druhej zmluvnej strane len za škody, ktoré jej spôsobí akýmkoľvek porušením tejto DPA. Tieto škody musia byť jasne preukázané. Sprostredkovateľ zodpovedá za škodu spôsobenú spracúvaním len vtedy, ak nesplnil povinnosti podľa zákonov o ochrane údajov osobitne určené sprostredkovateľom údajov, alebo ak konal mimo zákonných pokynov prevádzkovateľa alebo v rozpore s nimi, ako je opísané v tejto DPA. V tejto súvislosti sprostredkovateľ zodpovedá len vtedy, ak prevádzkovateľ preukáže, že sprostredkovateľ je zodpovedný za udalosť, ktorá viedla k vzniku škody.

Prevádzkovateľ nesie výhradnú zodpovednosť voči dotknutej osobe a dotknutá osoba má nárok na náhradu akejkoľvek majetkovej alebo nemajetkovej ujmy, ktorú prevádzkovateľ alebo sprostredkovateľ (alebo jeho subdodávateľ/subdodávatelia) spôsobí dotknutej osobe porušením tejto DPA.

Článok H.3 Platnosť a ukončenie zmluvy 

Doba platnosti tejto DPA sa zhoduje so začiatkom účinnosti používateľskej zmluvy a/alebo používaním konkrétneho produktu alebo služby, ako je uvedené v prílohe A.

Táto DPA zaniká automaticky spolu s ukončením používateľskej zmluvy a/alebo používania konkrétneho produktu alebo služby, ako je uvedené v prílohe A, podľa toho, čo nastane skôr.

Po ukončení tejto DPA sprostredkovateľ na žiadosť prevádzkovateľa vráti osobné údaje prevádzkovateľovi alebo sprostredkovateľovi určenému prevádzkovateľom, alebo osobné údaje vymaže, pokiaľ sa od sprostredkovateľa nevyžaduje, aby si ponechal kópiu v súlade s akýmkoľvek právnym predpisom Európskej únie alebo ktoréhokoľvek členského štátu Európskej únie.

ODDIEL I ZÁVEREČNÉ USTANOVENIA 

Článok I.1 Celá dohoda 

Táto DPA tvorí súčasť používateľskej zmluvy. Všetky práva a povinnosti vyplývajúce z používateľskej zmluvy sa vzťahujú aj na túto DPA. Príloha A tvorí neoddeliteľnú súčasť tejto DPA.

Článok I.2 Zmena len na základe dohody 

Žiadna zmena tejto DPA nie je platná, ak nie je vyhotovená písomne a podpísaná oprávnenými zástupcami každej zmluvnej strany. 

Článok I.3 Oddeliteľnosť ustanovení 

Každé z ustanovení tejto DPA je samostatné a oddeliteľné, a ak sa akékoľvek ustanovenie alebo časť ustanovenia stane nevymožiteľným, nezákonným alebo neplatným v celom rozsahu alebo sčasti na základe rozhodnutia akéhokoľvek súdu, regulačného orgánu alebo iného príslušného orgánu, v tomto rozsahu sa nepovažuje za súčasť tejto DPA a vymožiteľnosť, zákonnosť a platnosť zvyšku tejto DPA tým nebude ovplyvnená. Zmluvné strany súhlasia s tým, že sa pokúsia nahradiť akékoľvek neplatné alebo nevymožiteľné ustanovenie platným alebo vymožiteľným ustanovením, ktoré v najvyššej možnej miere dosiahne rovnaký účinok, aký by

bol dosiahnutý neplatným alebo nevymožiteľným ustanovením. S výnimkou zmien vykonaných touto DPA zostáva používateľská zmluva nezmenená a v plnom rozsahu platná a účinná.

Článok I.4 Právo na postúpenie 

Zmluvné strany môžu túto DPA postúpiť len v súlade s používateľskou zmluvou (ustanovenie 8.9). 

Článok I.5 Rozhodné právo 

Táto DPA sa riadi a vykladá v súlade s právnymi predpismi Holandska. Každá zmluvná strana súhlasí s výhradnou jurisdikciou súdov v Amsterdame na riešenie akýchkoľvek sporov vyplývajúcich z tejto DPA. Ak by akýkoľvek súd alebo správny orgán príslušnej jurisdikcie zistil, že akékoľvek ustanovenie tejto DPA je neplatné, nevymáhateľné alebo nezákonné, ostatné ustanovenia tejto DPA zostávajú v plnom rozsahu platné a účinné. 

PRÍLOHA A – ŠPECIFIKÁCIA SPRACÚVANIA OSOBNÝCH ÚDAJOV 

1. ÚČEL SPRACÚVANIA

Spracúvanie osobných údajov priamo súvisí s poskytovaním služieb podľa používateľskej zmluvy.

Účely spracúvania sú:

• Spory (Disputes)

  • Uľahčenie riadenia a riešenia sporov medzi prevádzkovateľom a jeho zákazníkmi prostredníctvom produktov a služieb spoločnosti Mollie.

  • Poskytovanie potrebných nástrojov a informácií prevádzkovateľovi na reagovanie na nároky zo sporov, ako sú spätné platby (chargebacky) alebo dopyty ohľadom platieb.

• Fakturácia (Invoicing)

  •  Uľahčenie odosielania faktúr zákazníkom prevádzkovateľa prostredníctvom produktov a služieb spoločnosti Mollie 

2. KATEGÓRIE DOTKNUTÝCH OSÔB 

Sprostredkovateľ bude pre prevádzkovateľa spracúvať osobné údaje týchto kategórií dotknutých osôb:

• Zákazníci prevádzkovateľa: Platitelia (spotrebitelia alebo firemní zákazníci), ktorí iniciujú platbu, dopyt alebo spor.

Spory (Disputes)

• Príjemcovia (tretie strany): Jednotlivci identifikovaní v záznamoch o doručení alebo v dôkazoch o transakcii, ktorí nemusia byť platiteľom (napr. osoba prijímajúca darček na doručovacej adrese).

• Oprávnení zástupcovia / personál prevádzkovateľa: Personál obchodníka, ktorého mená, kontaktné údaje alebo podpisy sa môžu objaviť v dôkazoch o spore, komunikačných záznamoch alebo lístkoch (ticketoch) podpory.

• Poskytovatelia služieb (tretie strany): Jednotlivci, ktorých údaje môžu byť obsiahnuté v dôkazoch poskytnutých subdodávateľmi alebo partnermi (napr. mená kuriérov na podpise potvrdzujúcom doručenie).

Fakturácia (Invoicing)

• Údaje o fakturácii (ako ich uviedol prevádzkovateľ)

3. TYPY OSOBNÝCH ÚDAJOV 

Sprostredkovateľ bude pre prevádzkovateľa spracúvať tieto typy osobných údajov:

• Údaje o totožnosti a kontaktné údaje: Meno a priezvisko, e-mailová adresa, telefónne číslo a fakturačná adresa platiteľa.

• Metadáta transakcie: ID transakcie, číslo objednávky, suma, mena, dátum/čas a konkrétna použitá platobná metóda (napr. Kreditná karta, Klarna, iDEAL).

• Údaje o doručení a logistike: 

  • Podrobnosti o preprave: Doručovacia adresa (ulica, číslo domu, PSČ, mesto, krajina).

  • Informácie o sledovaní: Názov prepravcu, sledovacie čísla a záznamy o stave prepravy/doručenia v reálnom čase.

  • Doklad o doručení: Digitálne podpisy, časové pečiatky doručenia a fotografický dôkaz doručenia (napr. balík pri dverách).

• Dôkazy o spore (neštruktúrované údaje): 

  • Nahrané súbory: Akékoľvek osobné údaje obsiahnuté v dokumentoch manuálne nahraných prevádzkovateľom (napr. faktúry v PDF, záznamy chatu zákazníckej podpory, snímky obrazovky z aplikácie WhatsApp alebo e-mailová korešpondencia).

• Technické identifikátory: IP adresy, digitálne odtlačky zariadenia a metadáta prehliadača zhromaždené v čase transakcie (používané na overenie polohy a totožnosti zákazníka s cieľom bojovať proti podvodom).

Vyššie uvedené kategórie osobných údajov odrážajú zamýšľaný rozsah spracúvania podľa tejto zmluvy. V prípade, že sa osobné údaje patriace mimo týchto kategórií náhodne zdieľajú alebo vložia do neštruktúrovaných údajov alebo nahraných dokumentov, sprostredkovateľ s nimi bude zaobchádzať s náležitou starostlivosťou a uplatní vhodné technické a organizačné opatrenia.

4. BEZPEČNOSTNÉ OPATRENIA 

Kontext 

Bezpečnostné kontroly a prevádzkové postupy, ktoré spoločnosť Mollie vytvorila pre naše aplikácie, systémy a IT procesy ako finančná inštitúcia, podliehajú kontrole zo strany Holandskej centrálnej banky (DNB). Tá pri technických štandardoch, ktoré by mali držitelia licencií dodržiavať, vychádza z usmernení Európskeho orgánu pre bankovníctvo (EBA). 

Okrem toho, keďže spoločnosť Mollie pôsobí (aj) ako prevádzkovateľ osobných údajov, vzťahujú sa na ňu aj iné právne predpisy stanovujúce štandardy bezpečnosti a ochrany údajov, ktoré presadzujú ďalšie orgány – predovšetkým GDPR a jeho dozorný orgán v Holandsku (Autoriteit Persoonsgegevens). 

Systémy spracúvajúce kartové údaje sú predovšetkým systémy v súlade so štandardom PCI DSS úrovne 1 (level 1), čo znamená, že táto konkrétna aplikácia a postupy na jej vývoj a údržbu podliehajú opatreniam na ochranu údajov definovaným radou PCI, pričom súlad s nimi posudzuje u spoločnosti Mollie externá strana každý rok. 

Všeobecné opatrenia

Všetky aplikácie, systémy a postupy s nimi súvisiace podliehajú informačnej bezpečnostnej politike spoločnosti Mollie. Najdôležitejšie body z tejto a iných politík, ktoré sú relevantné pre rozsah poskytovaných služieb, sú:

• Preverovanie zamestnancov

• Tréningový program bezpečnosti pre vývojárov

• Program zvyšovania povedomia o bezpečnosti

• Rozdelenie povinností

• Riadenie zmien

• Riadenie zraniteľností

• Riadenie incidentov

• Riadenie odolnosti a zálohovania

• Presadzovanie silnej kontroly prístupu (IAM a IGA)

• Kontroly oprávnení používateľov

• Štandardy klasifikácie systémov

• Štandardy klasifikácie údajov a dátová politika

• Štandardy bezpečnej konfigurácie založené na najlepších odvetvových postupoch, presadzovanie politiky (hardvérové zabezpečenie – hardening)

• Fyzické a logické oddelenie sieťového prostredia

• Štandardy bezpečného šifrovania

• Správa šifrovacích kľúčov

• Šifrovanie (pri prenose, pri nečinnosti pre prostredia zdieľanej infraštruktúry, ako je cloud)

• Riadenie rizík tretích strán

• Monitorovanie dostupnosti a chýb

• Životný cyklus bezpečného vývoja

  • Modelovanie hrozieb pri významných zmenách a nových funkciách

  • Riadenie závislostí a skenovanie známych zraniteľností

  • Statická bezpečnostná analýza kódu

  • Interné a externé skenovanie zraniteľností

• Koordinované zverejňovanie zraniteľností (CVD) a program odmien za odhalenie chýb (bug bounty)

• Program spravodajstva o hrozbách (napr. účasť v holandskom PI-ISAC, centre pre zdieľanie a analýzu informácií o platobných inštitúciách, monitorovanie dark webu)

• Spolupráca s poskytovateľom riadených bezpečnostných služieb (MSSP) v oblasti bezpečnostných operácií, analýzy a forenzného vyšetrovania

• Riadenie bezpečnostných informácií a udalostí (SIEM)

• Bezpečnosť koncových zariadení zamestnancov

• Bezpečnosť e-mailov

Platforma Mollie

Okrem všeobecných bezpečnostných opatrení uvedených vyššie je aplikácia platformy Mollie chránená týmito bezpečnostnými opatreniami – buď vyplývajúcimi z implementácie našich všeobecných bezpečnostných politík, alebo ako zmierňujúce opatrenie na riešenie rizika identifikovaného pri posudzovaní rizík špecifických pre danú aplikáciu:

• Dvojfaktorové riadenie prístupu

• Penetračné testy vykonávané tretími stranami

• Riadenie udalostí bezpečnostných incidentov

• Zmiernenie útokov DDoS

• Reakcia na bezpečnostné incidenty

• Monitorovanie dostupnosti

• Bezpečné úložisko poverení

• Redundantná infraštruktúra

• Záložné riešenie po obnove po havárii (disaster recovery failover)

• Obmedzenie frekvencie požiadaviek (rate limiting) a uzamykanie

• Prísna politika bezpečnosti obsahu (Content-Security-Policy)

• Captcha

• Firewall webových aplikácií
  
  

PRÍLOHA B – PREHĽAD SUBDODÁVATEĽOV

Platí pre používateľov produktu Spory (Disputes)

Platí pre používateľov produktu Fakturácia (Invoicing)